Fortex 0 Опубликовано 7 октября Share Опубликовано 7 октября Всем привет. Сервер был установлен года 3 назад и подключение из глобальной сети не предполагалось, поэтому был установлен с локальным доменным именем и сертификатом по этому же имени. Допустим kes.company.local . В связи с развитием компании появилась нужда в соединении мобильных устройств Android из глобальной сети. Для этой роли был выбран шлюз подключений на основе агента в ДМЗ и задано одно доменное имя для шлюза и сервера: kes.company.ru. Внутри сети оно ссылается на сервер KSC, из глобальной сети оно ссылается на шлюз подключений. Был перевыпущен сертификат для мобильных устройств на новое доменное имя и внутри сети мобильные устройства успешно соединяются с сервером, а вот из интернета нет - при соединении подключение (ожидаемо) приходит на шлюз, но отбивается в связи с "Ceritficate unknown". И это не удивительно, так как шлюз использует для соединения сертификат сервера, который еще на старое доменное имя, он использует его как для сервера так и для соединения с мобильными устройствами - соответственно с сервером успешно соединяется, а с устройствами нет, так как у них сертификат на новое имя. Из этого вопрос(ы): Как полностью везде заменить сертификат сервера на новое доменное имя? или Как заставить шлюз использовать для соединения с сервером сертификат сервера, а для соединения с мобильниками сертификат для мобильных устройств. Версия сервера: 13.1.0.8324, агента 13.1.0.8324, KESM 10.8.3.125 Цитата Ссылка на сообщение Поделиться на другие сайты
oit 1936 Опубликовано 7 октября Share Опубликовано 7 октября А порты открыты? Цитата Ссылка на сообщение Поделиться на другие сайты
Fortex 0 Опубликовано 7 октября Автор Share Опубликовано 7 октября Ну конечно открыты. Я же написал: "при соединении подключение (ожидаемо) приходит на шлюз". А "Ceritficate unknown" я взял из дампа Wireshark при попытке синхронизации мобильного устройства из интернет со шлюзом. Цитата Ссылка на сообщение Поделиться на другие сайты
oit 1936 Опубликовано 7 октября Share Опубликовано 7 октября А в свойствах точки распространения на ксц - шлюз указано новое доменное имя в самом низу? Там как раз пишется, что дом имя включается в сертификат Цитата Ссылка на сообщение Поделиться на другие сайты
Fortex 0 Опубликовано 7 октября Автор Share Опубликовано 7 октября (изменено) Да, конечно. Там два имени, сначала новое, потом старое доменное имя. ЗЫ: было, правда через точку с запятой написано, а надо через запятую - исправил, шлюз синхронизировался с сервером, но мобильные устройства все равно не подключаются по той же ошибке. После изменения в этом поле не нужно ли агента переставлять? Изменено 7 октября пользователем Fortex Цитата Ссылка на сообщение Поделиться на другие сайты
oit 1936 Опубликовано 7 октября Share Опубликовано 7 октября Переставлять агента не нужно. Он же по днс имени шлюза у вас ставился, а не ксц? Или по ксц? Тогда профиль переключения настроен в политике агента? Цитата Ссылка на сообщение Поделиться на другие сайты
Fortex 0 Опубликовано 7 октября Автор Share Опубликовано 7 октября (изменено) Амм... не понял вопросов... Профили точно никакие не настроены. Ибо не понимаю зачем. Я бы понял надстройку профиля устройств на основе подсети: внутри сети использовать сервер, снаружи сети использовать шлюз. Условие задается локальными подсетями, если телефон не вних - считается что он снаружи и применяется профиль использования подключения через шлюз. Но какой профиль и зачем настраивать для агента шлюза, я не пойму. Изменено 7 октября пользователем Fortex Цитата Ссылка на сообщение Поделиться на другие сайты
oit 1936 Опубликовано 7 октября Share Опубликовано 7 октября 1 час назад, oit сказал: Он же по днс имени шлюза у вас ставился, а не ксц? Как ставился агент? Что в нем указывалось в качестве сервера? Цитата Ссылка на сообщение Поделиться на другие сайты
Fortex 0 Опубликовано 7 октября Автор Share Опубликовано 7 октября (изменено) Агент ставился из автономного инсталляционного пакета с указанием в нем доменного имени kes.company.ru. В нем используется сертификат сервера по умолчанию, а там домен указан старый kes.company.local.... Пробовал подпихнуть туда сертификат от мобильных устройств с доменом kes.company.ru из папки сервера, но с ним агент перстал подключаться к серверу. Смогли бы с этим сертификатом подключиться мобильные устройства проверить не смог, потому как для этого на сервере нужно включить для шлюза порты для мобильных устройств, а агент к серверу не подключается из-за сертификата. Изменено 7 октября пользователем Fortex Цитата Ссылка на сообщение Поделиться на другие сайты
oit 1936 Опубликовано 7 октября Share Опубликовано 7 октября 13 минут назад, Fortex сказал: сервере нужно включить для шлюза порты для мобильных устройс Надо, а вы что там галочки не поставили? А попробуйте агента на мобилке поставить с указанием имени шлюза Цитата Ссылка на сообщение Поделиться на другие сайты
Fortex 0 Опубликовано 7 октября Автор Share Опубликовано 7 октября 8 минут назад, oit сказал: Надо, а вы что там галочки не поставили? А попробуйте агента на мобилке поставить с указанием имени шлюза Естественно ставил.... Как бы мобильное устройство тогда бы вообще подключалось, если порты были бы закрыты?! В смысле с указанием имени шлюза? Доменного имени шлюза? Так оно одинаковое для сервера и шлюза, в первом сообщении об этом писал. Просто внутри сети это имя ссылается на сервер, а в интернет оно ссылается на шлюз. Цитата Ссылка на сообщение Поделиться на другие сайты
oit 1936 Опубликовано 7 октября Share Опубликовано 7 октября Не понял. У вас же этот шлюз указан как точка распространения? У них не может быть одинаковых имени. Цитата Ссылка на сообщение Поделиться на другие сайты
Fortex 0 Опубликовано 8 октября Автор Share Опубликовано 8 октября Почему не может быть? Очень может быть. kes.company.ru указан и для сервера и для шлюза. Внутри сети он резолвится в внутренний ИП сервера, в глобальной сети он резолвится в ИП шлюза соединений. И в тех поддержке ответили, что с версии 13 сервера и агента, + 124 билд мобильного приложения - так должно работать. Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 1919 Опубликовано 8 октября Share Опубликовано 8 октября Есть неписаное правило, если обратился к одной гадалке, то к другой не обращайся. Если вы обсуждали вопрос со специалистами техподдержки, то с ними бы и продолжали обсуждение, зачем начинать новое с простыми пользователями. Цитата Ссылка на сообщение Поделиться на другие сайты
Fortex 0 Опубликовано 8 октября Автор Share Опубликовано 8 октября (изменено) Потому, что то обсуждение было по другому вопросу и этот ответ был дан как ответвление обсуждаемой темы. А тут я задал вопрос, потому как схема достаточно тривиальная и, скорее всего, ее уже кто-то реализовывал - поэтому надеялся получить ответ быстрее, чем отвечает тех.поддержка. Ответа в ТП приходится ждать по 2-3 дня - это не серьезно. В ТП этот вопрос тоже был задан, но она до сих пор молчит, а тут, как видите, уже обсуждение почти на страницу..... Однако, теперь вижу, что тема не востребована (что очень странно, неужели никто не следит за корпоративными девайсами за пределами своей сети?! - так себе решение в плане секьюрности), поэтому реализовано в софте она через одно место.... Изменено 8 октября пользователем Fortex Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.